34 конфигурация dhcp snooping, 1 введение в dhcp snooping – Инструкция по эксплуатации QTECH QSW-3400 Руководство администратора

Руководство пользователя

34. Конфигурация DHCP Snooping

249

www.qtech.ru

34 КОНФИГУРАЦИЯ DHCP SNOOPING

34.1 Введение в DHCP Snooping

DHCP Snooping означает, что коммутатор наблюдает за процессом присвоения IP адресов
по протоколу DHCP. Это предотвращает появление нелегальных DHCP серверов и DHCP
атаки путем настройки доверенных и недоверенных портов. DHCP сообщение с
доверенных портов передается без проверки. При типичной конфигурации доверенные
порты используются для подключения DHCP сервера или DHCP ретранслятора, а к
недоверенным портам подключаются клиенты. С недоверенных портов коммутатор
будет пересылать только DHCP запросы, но не ответы. Если с недоверенного порта
получено сообщение DHCP ответа, коммутатор поднимет тревогу и предпримет
определенные действия с портом, согласно настройкам, например выключение или
создание «черной дыры».

Если включена привязка DHCP Snooping, коммутатор сохранит в соответствующей
таблице связующую информацию о каждом DHCP клиенте с недоверенного порта
(включая MAC адрес, IP адрес, аренду IP, номера VLAN и порта). Имея такую информацию
DHCP Snooping можно комбинировать с другими модулями, такими, как dot1x и ARP, или
самостоятельно реализовать контроль доступа пользователей.

Защита от поддельного DHCP сервера: если коммутатор перехватывает ответ DHCP
сервера (включая DHCPOFFER, DHCPACK и DHCPNAK), он поднимет тревогу и предпримет
определенные действия, согласно настройкам (выключение порта или создание «черной
дыры»).

Защита от перегрузки DHCP: Чтобы избежать большого количества сообщений DHCP,
атакующих процессор, пользователь может ограничить скорость получения DHCP пакетов
на доверенных и недоверенных портах.

Запись связующих данных DHCP: DHCP snooping при пересылке DHCP пакетов будет
записывать связующие данные, выделенные DHCP сервером. Можно так же загрузить эти
данные на сервер в целях восстановления утерянной информации. Связующие данные, в
основном, используются для настройки динамических пользовательских портов dot1x. За
подробной информацией о dot1x обратитесь, пожалуйста, к главе «Настройка dot1x».

Добавление связующего ARP: можно добавить статическую связку ARP в соответствии с
динамическими данными, чтобы предотвратить ARP мошенничество.

Добавление доверенных пользователей: можно добавить записи в список доверенных
пользователей в соответствии с параметрами связующих данных; эти пользователи
получат доступ ко всем ресурсам без dot1x аутентификации.

Автоматическое восстановление: через некоторое время после выключения порта или
создания «черной дыры», нужно автоматически убрать блокировку порта или MAC
адреса и отправить при этом информацию на сервер через syslog.